病毒手动查杀步骤参考

中毒症状1
桌面被修改成如图所 示，且右键→属性， 显示属性中的主题、 桌面选项卡中的设置 项无法使用、或使用 后不生效。切每次注 销，启动，重启后背 景色会变动。
中毒症状2
打开任务管理器时， 提示任务管理器以被 管理员禁用，打开命 令行时，命令行被强 制关闭，切弹出英文 提示框，bat文件执行 现象同命令行。且rar 压缩文件不能执行。
通过任务管理器将通过任务管理器将smss32exesmss32exe进程关闭后进程关闭后进入进入windowswindowssystem32system32将将smss32exesmss32exe文件删文件删除且在原处创建文件夹除且在原处创建文件夹smss32exesmss32exe并进入并进入命令行到当前目录下执行命令行到当前目录下执行attribsmss32exesmss32exe进行手动文件免疫以免改文件进行手动文件免疫以免改文件被再次生成
进入windows\system32将winlogon32.exe删除。
启动SREngLdr.exe软件，启动项目会自动跳出 该注册表键值被修改，是否需要修复。
KEY_LOCAL_MACHINE\Software\Microsoft\ WINDOWSNT\CurrentVersion\Winlogon\Us erinit 键值为： C:\WINDOWS\system32\winlogon32.exe
病毒程序漏洞
经多次测试，发现该程序只能对一个命令 行进行监控，即当不理会提示框的情况下 打开第二个命令行时，第二个命令行将不 被强行关闭，且可以正常使用。
查找病毒启动项
使用msconfig命令打开系2.exe 的启动项。
smss(Session Manager Subsystem)是会话管理 子系统用以初始化系统变量。
病毒手动查杀
Windows操作系统下的病毒
windows操作系统是一个极度依赖注册表运行的操 作系统，其内部所有程序的启动都依赖于注册表。
病毒，一段恶意的程序。 由以上两点可以得出windows操作系统中的病毒的
启动也一定会在注册表中留下痕迹。
结论：手动杀毒无非是修改被病毒修改了的注册 表，使得病毒无法自动运行，达到保护计算机系 统和资料的目的。
手动查杀病毒的目标
控制病毒：修改被病毒修改了的注册表， 使得病毒无法自动运行，达到保护计算机 系统和资料的目的。
完全清除病毒：在控制病毒的基础上，把 病毒的源程序找到完全删除。（病毒可能 有很多备份，所以完全删除比较困难）
病毒样本
本次使用的病毒样本来自于一个杀毒软件 的病毒测试包。
病毒类型：木马——Troj.Agent2 文件名：17..exe 特点：生命力极其顽强，一旦中招，极难
任务管理器被解锁！
通过任务管理器，将smss32.exe进程关闭后， 进入windows\system32 将smss32.exe文件删 除，且在原处创建文件夹smss32.exe并进入 命令行，到当前目录下执行attrib +s +r smss32.exe进行手动文件免疫，以免改文件 被再次生成。
将非默认项全都删除，然后重新配置桌面， 我们熟悉的桌面就回来了！
至此，本次手工杀毒基本结束，当然由于时 间和能力问题还有至少一个病毒进程还未 被找到。
至于smss32.exe是什么想必大家也都能猜到。
↑启动项名称 ↑ 被执行文件路径 ↑注册表记录 仔细观察会发现2个smss32被在了注册表的2个不同的地方
杀毒
要删除病毒文件首先必须关闭病毒文件的 进程，即需要查看任务管理器。
通过命令行regedit打开系统注册表，将注册 表展开到 [HKEY_CURRENT_USER\Software\Microso ft\Windows\CurrentVersion\Policies\System] 找到“DisableTaskmgr”并将其值设置为0
winlogon32.exe为启动病毒。
正常的值为 Ｃ:\WINDOWS\system32\Userinit.exe
接下来就是恢复桌面了
\HKLM\SOFTWARE\Microsoft\Windows\C urrentVersion\policies\
\HKCU\SOFTWARE\Microsoft\Windows\C urrentVersion\policies\
彻底杀死。
特别提示：病毒查杀测试前的准备
首先，病毒查杀、测试等具有一定危险性 的操作最好在虚拟机中操作。
其次，为了方便的观察和检测病毒，在测 试前当为虚拟机创建为中毒前的快照，以 便快速恢复测试环境。
最后，当前有大量的网络病毒，在测试前 应关闭虚拟机的网卡，如进行多个虚拟机 联合测试，需使用与当前宿主机物理网络 无关的虚拟网络。